Nueva vulnerabilidad en OpenSSL – Tomad medidas rápido!

1

OpenSSL

Suponemos que todos recordáis la terrible amenaza que ha supuesto Heartbleed recientemente. Aquí publicamos varias entradas y, entre otras cosas, os urgíamos a cambiar las contraseñas y revisar vuestros ajustes de privacidad. Una amenaza que afectó a cientos de miles de webs, y que también puso en riesgo millones de dispositivos Android.

Pues hace escasos días se ha descubierto un nuevo problema de seguridad en OpenSSL.

El equipo reponsable de la librería ha lanzado un aviso de seguridad, detallando 6 nuevas vulnerabilidades en la librería criptográfica Open Source, que es la más utilizada en la red.

Amenazas que requieren acciones urgentes

Hablamos de un problema grave, que podría derivar en un ataque man-in-the-middle, mediante la escucha de conexiones encriptadas. También podría permitir la ejecución de código malicioso en sistemas vulnerables.

La buena, buenísima noticia, es que ya hay parche esperando a ser instalado. Aparentemente, dificulta en gran medida tomar ventaja de este problema a un atacante.

OpenSSL es una de las librerías criptográficas que soportan el protocolo https que todos utilizamos

Algo que causa cierta sorpresa es que estas vulnerabilidades hayan permanecido latentes durante 10 años sin ser detectadas. Hablamos de una librería Open Source, que puede ser auditada por cualquier persona con conocimientos. Siendo una librería open source inspira más confianza que una librería propietaria, pero parece ser que nadie, hasta ahora, había revisado en detalle el código.

Vulnerabilidad SSL/TLS MITM (CVE-2014-0224)

Con este nombre se ha bautizado a la amenaza que supondría el MITM. Ha sido descubierta por el investigador de seguridad Masashi Kikuchi, de origen japonés.

Parte de la descripción del fallo dice lo siguiente:

Un atacante que utilice un handshake cuidadosamente modificado, podría forzar el uso del material de claves vulenrable en clientes OpenSSL/TLS y servidores. Esto puede ser explotado por un ataque Man-in-the-middle, donde el atacante puede desencriptar y modificar tráfico desde el cliente y servidor atacados“.


El ataque solo puede ser llevado a cabo entre un cliente y servidor vulnerables. Los clientes de OpenSSL son vulnerables en todas sus versiones. Por su parte, los servidores solo serían vulnerables en versiones OpenSSL 1.0.1 y 1.0.2-beta1. Los usuarios de OpenSSL en versión anterior a 1.0.1 deberían actualizar a una versión reciente como precaución.


 

  • Usuarios de OpenSSL 0.9.8 SSL/TLS (client and/or server) deberán actualizar a 0.9.8za.
  • Usuarios de OpenSSL 1.0.0 SSL/TLS (client and/or server) deberán actualizar a 1.0.0m.
  • Usuarios de OpenSSL 1.0.1 SSL/TLS (client and/or server) deberán actualizar a 1.0.1h.”

Afortunadamente, los navegadores web populares, como Internet Explorer, Firefox, Chrome y Safari no utilizan OpenSSL, algo que reduce enormemente el alcance de la infección.

Más información en el OpenSSL security advisory.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR